内容简介:原文作者:Xiaoyan Sun , Jun Dai, Peng Liu, Anoop Singhal, and John Yen原文标题:Using Bayesian Networks for Probabilistic Identification of Zero-Day Attack Paths
作者: {Esi}@ArkTeam
原文作者:Xiaoyan Sun , Jun Dai, Peng Liu, Anoop Singhal, and John Yen
原文标题:Using Bayesian Networks for Probabilistic Identification of Zero-Day Attack Paths
原文出处:IEEE Transactions on Information Forensics and Security, 2018, 13(10): 2506-2521.
执行各种安全措施(例如入侵检测系统等)可以为计算机网络提供一定程度的保护。但是面对0day攻击,这种安全措施往往不尽如人意。由于攻击者和防御者之间的信息不对称,检测0day攻击仍然是一个挑战。为了更好的检测0day攻击,我们认为在攻击路径上进行检测是一种更加可行的策略,0day攻击路径可以认为是整个攻击路径中包含一个或多个0day攻击。这样认为的原因是攻击者很难确保攻击路径上的所有攻击都是0day攻击,因此可以做出以下假设:
1)可以通过某种方式检测非0day攻击,例如通过入侵检测系统等;
2)可检测的非0day攻击与0day攻击具有一定的链接关系。
在本文中,我们提出了一种概率方法,并实现了原型系统ZePro,用于0day攻击路径识别。在本文的方法中,0day攻击路径本质上是一个图。为了捕获零日攻击,首先通过分析系统调用使用对象实例来构建超图。为了进一步揭示隐藏在超图中的0day攻击路径,我们的系统基于实例图构建贝叶斯网络。通过将入侵证据作为输入,贝叶斯网络能够计算出被感染的对象实例的概率。通过依赖关系连接高概率的实例形成一条路径,即0day攻击路径。
图1系统架构
本文的主要贡献有以下四点:
-
ZePro是第一个采用概率方法来进行0day攻击路径识别的研究。
-
提出了构建网络范围超图,然后确定隐藏在其中的零日攻击路径。
-
第一次通过引入对象实例图来构建OS级别的贝叶斯网络。
-
设计并实现了ZePro,可以有效地自动识别0day攻击路径。
为了进行实验评估,我们构建了一个网络商店测试平台,以模拟小规模的真实企业网络,如图2的攻击场景,整个实验分为了3步进行:
-
攻击者利用漏洞CVE-2008-0166通过暴力密钥猜测攻击获得SSH服务器的root权限。
-
由于NFS服务器上的导出表未正确设置,攻击者可以将恶意可执行文件上传到NFS上的公共目录。恶意文件包含可以利用特定工作站上的漏洞的特洛伊木马程序。公共目录在测试台网络中的所有主机之间共享,以便工作站可以访问和下载此恶意文件。
-
一旦恶意文件被安装并安装在工作站上,攻击者就能够在工作站上执行任意代码。
图2 攻击场景
由于通常很难获得0day漏洞,我们用已知漏洞来进行模拟。例如,假设当前时间是2008年12月31日,CVE-2009-2692被视为0day漏洞。此外,其他安全漏洞(如NFS上的配置错误)也可视为一种特殊类型的未知漏洞,只要这些漏洞不被漏洞扫描程序扫描到即可。
实验结果表明ZePro能够重建攻击故事情节,例如攻击如何发生,访问了哪些文件,以及引发的警报是否具有相关性等,本文方法的一个优点是,即使没有为特定漏洞提供证据,所识别的路径也提供了揭示隐藏漏洞的上下文。
以上就是本文的全部内容,希望对大家的学习有所帮助,也希望大家多多支持 码农网
猜你喜欢:- 从手机、安防的人脸识别到AIOT和物流机器人:旷视科技找到了差异化路径?
- 深入解析Java绝对路径与相对路径
- C#/.NET 如何确认一个路径是否是合法的文件路径
- GAC 与其物理路径
- 关键渲染路径优化
- 【Leetcode】62. 不同路径
本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们。